Как показывает практика, в ходе раскрытия и расследования преступлений в сфере компьютерной информации следователь выстраивает цепочку доказательств: данные осмотра места происшествия – исследование – наведение справок – выявление и задержание злоумышленника. На первом этапе в соответствии со статьями 164, 176 и 177 Уголовно-процессуального кодекса РФ производится осмотр места происшествия, то есть компьютерной системы, подвергшейся хакерской атаке. В ходе этого осмотра следователь изымает и приобщает к делу различные файлы протоколов, в том числе с межсетевых экранов, журналы операционных систем и прикладных программ и т.п. Затем после анализа этих лог-файлов специалистом определяется тактика дальнейшего расследования. В зависимости от конкретных обстоятельств дела далее получаются путем выемки или даже обыска файлы протоколов в провайдерских или хостинговых компаниях, компаниях, предоставляющих услуги проводной связи, а также в некоторых других местах. На основании этих лог-файлов устанавливается как минимум местонахождение (а иногда и такие сведения о личности, как данные паспорта или фотография) подозреваемого лица. Данные этих лог-файлов в дальнейшем предъявляются как доказательство в ходе судебного процесса.
Разумеется, при таком положении вещей перед всеми участниками судебного процесса встает вопрос: как обеспечивается доказательственное значение приобщенных к уголовному делу лог-файлов? Иными словами, являются ли лог-файлы допустимым доказательством в уголовном процессе? . В ходе таких обсуждений сетевая общественность в большинстве своем пришла к следующим весьма спорным умозаключениям:
- Лог-файлы, изъятые с компьютера потерпевшего, в дальнейшем не имеют доказательственной силы, поскольку предварительно могли быть изменены как самим потерпевшим, так и независимо от его желания третьими лицами. После же изъятия лог-файлы могут быть изменены следователем, специалистом или оперативными сотрудниками правоохранительных органов.
- Лог-файлы, полученные в провайдерских компаниях, в дальнейшем не имеют доказательственной силы, поскольку в соответствии с Законом РФ «О связи» провайдер не имеет права предоставлять кому бы то ни было информацию о частной жизни граждан без судебного решения. На основании же одних подозрений следователя (ведь лог-файлы с компьютера потерпевшего доказательственной силы не имеют) суды не будут выносить такое решение.
- Результаты исследования каких-либо компьютеров (в том числе и изъятых у подозреваемых лиц), произведенного экспертом, не имеют доказательственной силы, поскольку для производства подобных экспертиз эксперт должен использовать методики,сертифицированны